COMPUTADORA BASTANTE LENTA (CERRADO !)

[Eddy89]

Buenas Tardes, miren tengo un problema con mi pc, hace como una semana tuve una infeccion algo masiva por el llamado "trust cleaner" aparte de otros troyanos. Y creo que me dejo la pc con sintomas de la infeccion. Compre el "SpeedUpMyPc" para subir velocidad y checar rendimientos siempre me marca el CPU al 100 porciento aunque no este trabajando yo en ella. Tambien cuando le pico al apagado tarda como unos 3 min en salirme el menu de apagado. Ya pase el Spybot, HJT, Panda active scan. y no me marca nada. Y otra cosa molesta es que me cambio la configuracion del teclado me cambio de lugar todos los simbolos y no se como regresarlos ej. para poner interrogacion tengo que poner (intro+9). Bn pues eso es todo.

Espero sus respuesstas gracias.

[koga]

Pues habiendo pasado el HJT podrias postear el log para que puedan ver aqui los expertos si hay alguna entrada sospechosa.



Saludos.

[msc hotline sat]

Efectivamente, seguro que tienes aun bichos dentro...



Tras postearnos el log del HJT lo analizaremos e indicaremos como proceder



Y por ultimo la configuracion del teckado segun pais, pues de nada serviria hacerlo ahora con bicho dentro, pues lo volveria a cambiar si es lo que hace !



saludos



ms, 4-10-2006

[Eddy89]

Logfile of HijackThis v1.99.1
Scan saved at 12:51:18 p.m., on 04/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe
C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
c:\archivos de programa\panda software\panda antivirus + firewall 2007\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\archivos de programa\panda software\panda antivirus + firewall 2007\WebProxy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
C:\Archivos de programa\ATI Technologies\ATI HydraVision\HydraDM.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\LIUtilities\SpeedUpMyPC\SpeedUpMyPC.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE
C:\ARCHIV~1\MESSEN~2\Msmsgs.exe
C:\Archivos de programa\CursorXP\CursorXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe
C:\Archivos de programa\LIUtilities\SpeedUpMyPC\helper.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\cisvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe
C:\SiteServer\svrsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
c:\archivos de programa\panda software\panda antivirus + firewall 2007\WebProxy.exe
C:\WINDOWS\SYSTEM32\cidaemon.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\blank.htm
O2 - BHO: Clicker Class - {A97B5EF1-CA64-466F-AC40-F770ED52DB92} - C:\WINDOWS\system32\mscoriezz.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [HydraVisionDesktopManager] "C:\Archivos de programa\ATI Technologies\ATI HydraVision\HydraDM.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SpeedUpMyPC] C:\Archivos de programa\LIUtilities\SpeedUpMyPC\SpeedUpMyPC.exe traybar
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [Error Nuker] C:\Archivos de programa\Error Nuker\bin\ErrorNuker.exe autostart
O4 - HKLM\..\RunServices: [WinLoader] umjq.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\ARCHIV~1\MESSEN~2\Msmsgs.exe" /background
O4 - HKCU\..\Run: [CursorXP] "C:\Archivos de programa\CursorXP\CursorXP.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,911,0
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: alockout.dll MsgPlusLoader.dll
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\archivos de programa\panda software\panda antivirus + firewall 2007\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe
O23 - Service: SiteClient Service for VMS (SiteClientService) - SiS Corporation - (no file)
O23 - Service: SiteServer Service for VMS (SiteServerService) - Unknown owner - C:\SiteServer\svrsvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe

[msc hotline sat]

Tienes dos antivirus instalados !!! Desinstala uno (sino irá muy lento y puede tener colisiones)

Este proceso es sospechoso: C:\SiteServer\svrsvc.exe envíanos muestra de este fichero para analizarlo

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre y tiene este blank.htm que no es un about:blank, arranque en modo seguro y lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\blank.htm

saludos
ms, 5-10-2006

[Eddy89]

Como te envio muestra de ese fichero ? Investigue sobre el svrsvc.exe y me dice que si es un virus que se oculta le pasa el hijack this y no me lo borra. Y me ha estado saliendo un mensaje con lo siguiente PavFnSvr.exe ha detectado un problema y debe cerrase con las opciones depurar enviar , no enviar.. Solo dime como te envio muestra de ese fichero y te lo mando. Otra cosa es que ya vi que si tengo 2 antivirus.. el VMS Managment pero no se deja eliminar me pide una clave.. como lo elimino ?

[maxgm]

Envialo a zonavirus@satinfo.es (VIA EMAIL) anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular.

[msc hotline sat]

y para que no lo pare ningun antivirus ni de tu maquina ni de internet, empaquetalo en un ZIP con passord VIRUS

saludos
ms, 6-10-2006

[Drums]

Ok, pues yo veo que tienes exactamente 3 antivirus y no 2. Quizás sean sólo rastros, registros, carpetas que hayan quedado de instalaciónes pasadas. Estos son los programas que veo:

- Panda Antivirus + Firewall 2007
- Symantec )Tienes algo de este producto aunque no se sabe exactamente cuál es)
- SiteClient Service for VMS (SiteClientService) Este servicio es del antivirus HAURI.

El proceso que creen sospechoso "C:\SiteServer\svrsvc.exe " es un proceso relacionado con este antivirus HAURI.

Comentas que al querer desinstalar, te pide una contraseña. El antivirus HAURI por default pone una contraseña que pedirá cuando quieras desinstalar el "VMS Managment". La contraseña por default es "agentdown" (sin comillas).

No sé cuál Antivirus crees que tengas instalado o que estés utilizando, pero me huele a que estás usando o tu preferencia va por el PANDA, así que si quieres borrar cualquier registro que haya quedado del Symantec, entra a este link y sigue las instrucciones y utiliza las herramientas que vienen ahí para que borre cualquier registro que quede de instalaciones previas de un producto NORTON.

En algunas páginas de los antivirus, puedes hacer un análisis de virus en línea para detectar alguna amenaza en el equipo.

Ahí se conecta a la base de datos 100% actualizada y te buscará una amenaza, la detecta, más no la borra, pero al menos sabrás si te encuentras infectado con algo.

Espero sea de ayuda y cualquier duda, pues las sigues comentando aquí... Hasta luego a todos.